호환마마, 신종 인플루엔자보다 더 무서운 ARP스푸핑 (3/4 - 세번째 이야기)

사전 예방을 위해 네트워크 보안 강화가 필요……

일단 ARP스푸핑 공격을 당하게 되면 99% 기밀정보 유출이나 금전적 피해를 보게 됨에도 불구하고 공격을 당하는 동안 피해 규모가 커 네트워크가 다운되기 전에는 PC나 네트워크 속도가 다소 느려지는 것 외에는 PC사용자나 네트워크 관리자가 느낄 수 있는 심각한 자각증세가 없어 피해를 막거나 줄일 수 없어 문제가 더욱 심각하다.

 

또한 앞서 언급한 것처럼 내가 PC보안을 철저히 하더라도 동일 네트워크를 사용하는 단 1명의 PC사용자가 보안을 게을리해도 내가 피해를 입을 수 있어, 개인 차원뿐만 아니라 “내부 네트워크 차원”에서의, 특히 ARP Cache Poisoning이 일어나는 L2에서의 보안 강화가 시급하다.

 

[사전 예방을 위한 조치들]

①     네트워크 관리자

n  개인사용자의 보안 교육 및 네트워크 보안수준을 강화하라.

n  게이트웨이 및 중요 서버의 경우 스위치에서 ARP Table 을 Static하게 생성하라. 

n  중요 패킷을 암호화하라_개인정보나 금융정보가 송수신되는 서버의 경우 SSL(Secure Socket Layer) 방식 등으로 암호화할 필요가 있다.

n  XArp 혹은 ARPwatch 툴을 사용하여 MAC/IP Address를 모니터링 하라

n  L2 레벨에서 ARP스푸핑을 차단해 주는 L2보안스위치를 사용하여 모니터링 하라_네트워크 관리자가 부재인 경우에도 자동으로 보안필터를 생성, 공격을 차단해 주며 차단된 공격의 상세로그도 편리하게 알 수 있다.

②     개인 사용자

n  보안패치와 백신의 업데이트, 파이어월, 보안 세팅을 매일 점검, 최신의 상태를 유지하라

n  의심스런 메일의 첨부파일이나 링크, 신뢰하지 않는 사이트는 클릭하지 마라

n  스캔 공격에 노출되지 않도록 컴퓨터를 사용하지 않는 경우, 유/무선 인터넷을 차단하라

n  네트워크 관리자나 관련기관 혹은 관련회사들이 공지하는 보안경고에 귀 기울이라

 

공격 발생 후, 네트워크 관리자가 할 수 있는 조치들

일단 시스템 감염이 의심되는 경우, 다음과 같이 조치를 취할 수 있다.

n  수작업으로 ARP Table 대조 및 트랙픽 분석

①     ARP Table 조회를 통한 MAC 주소 중복 확인

②     비정상 ARP 패킷이 수신되고 있는 지 확인

③     송수신 패킷에서 악성코드 유무 검사_tcpdump, 이더리얼, 와이어샤크 등 패킷분석 도구를 사용해 악성코드 확인 (패킷분석 도구 리스트는 참고문헌 참고)

④     ARP table 감시 도구 활용_sniffswitch, XArp, 혹은 ARPwatch 툴(유닉스용)을 이용해 최근 변경된 ARP cache 상태를 확인, 변경 Mac Address 기준으로 IP Address 추적하여 확인.

n  자동으로 확인 및 차단_L2 보안 스위치를 사용하는 경우

①     L2 보안 스위치를 설치 후 보안 기능을 활성화 시킨다.

②     ARP스푸핑이 일어나고 있는 경우, 알람이 울리고 해당 port와 MAC Address/IP Address를 점검, 1~2초 내에 공격을 감지/차단한다.

③     L2 보안 스위치에서 제공하는 통합관제시스템(VNM)에 PC사용자를 등록해 놓은 경우, 바로 사용자명까지 확인할 수 있어 확인하는 시간을 절약할 수 있다.

④     ARP스푸핑 외에도 DDoS 등 다양한 공격에 대한 공격시각/차단시각/MAC Address/IP Address/공격유형 등에 대한 자세한 로그를 실시간으로 볼 수 있고 리포트로 추출할 수 있어 편리하다.

⑤     물리적 port뿐만 아니라 논리적 port를 분리해 차단하므로, 감염된 사용자라도 일상적인 업무에 지장을 받지 않는 장점이 있다.

 

경계를 넘나드는 네트워크, 보안의 범위를 확장할 때……

휴가철 빈집털이가 는다고 한다. 내내 아무일 없어도 단 하루, 도둑이 들면 재산이 사라지는 것은 한 순간이다. 집은 그나마 외부로부터의 침입만 신경 쓰면 그만인 데도 쉽지가 않다. 하지만 원래 조직 경계에서 외부 침입자로부터 내부 네트워크 자산을 보호해야 하는 네트워크 보안은 내부와 외부의 경계를 허무는 업무 영역의 확장과 기술의 변화로 인해 점점 더 쉽지 않은 화두가 되고 있다.

 

인터넷 없이는 한시도 업무를 진행하지 못 하며, 관련 장비들이 타사와 IDC에서 동일 네트워크 환경을 공유하고 있으며 통제되지 않는 휴대용 장비들도 회사 내외부를 자유롭게 넘나들어 내부 네트워크 보안을 위협하고 있다. 이러한 경계의 변화에도 불구하고 네트워크 보안에 대한 인식은 여전히 과거의 “외부라 칭해지던 침입자만”을 막는 범위에 머물러 있어 ARP스푸핑 공격 등 내부 네크워크 취약점을 악용한 공격에는 효율적으로 대응하지 못 하는 측면이 있다.

 

내부 직원들의 보안 의식 강화는 물론 네트워크 담당자, 보안담당자, ISP 또는 IDC운용자, 호스팅사업자 등 제반 환경에 연관된 담당자들이 모두 모여 머리를 모으고 근본적 대책을 강구하는 것이 필요하다.

 

         (...... 일단 본문은 여기서 끝나고 네번째 이야기 즉 "부록 - 재미로 보는 통계 자료"가 이어집니다. )